隣のネット・セキュリティ事件〜スパイウエア(1)
高橋 正和=インターネット セキュリティ システムズ IT企画室 室長
スパイウエアという言葉をよく聞くようになった。スパイウエアという呼び名は、1995年に初めて使われ、1999年ころから現在の意味で使われるようになった。主にパソコンの情報を勝手に収集するものを指すことが多い (関連情報:CNET Japan「スパイウェアの地獄めぐりへようこそ」)。今年(2004年)の9月に、「スパイウエア対策法案(Anti-spyware legislation)」が、米上院商務委員会で可決したことから、改めて注目されている。(関連情報:ITmedia「スパイウエア対策法案、下院委員会で可決」)
スパイウエアの定義は、あいまいな部分があるが、ここでは主に以下のようなプログラムをスパイウエアと呼ぶことにする。
・パソコン内の情報を勝手に収集するもの(必ずしも、どこかに情報を送信するとは限らない)
・広告目的でWebアクセスの誘導を行うもの(アドウエアと呼ばれることが多い)
ワームやウイルスと比較して、スパイウエアの被害は目立ちにくい。スパイウエアが自己増殖機能を持たないことが、この理由の一つとなっている。また、スパイウエアは具体的な目的を持つものが多いことから、むやみに目立つことはせず、ひっそりと潜むものも少なくない。これも、あまり話題に上らない理由かもしれない。
しかし、本当の理由は、多くの人が、ウイルス、ワーム、フィッシング、スパイウエアの区別がつかず、すべてコンピュータウイルスとして認識していることにあるのかもしれない。
今回は、スパイウエア被害の事例を紹介し、その仕組みと対策について紹介する。
1.スパイウエアとその周辺の事例
スパイウエアの定義は、なかなか難しい。
以下で紹介する事例の他にも、システムがクラッシュしたり、パソコンが妙に重くなったり、といった症状が出ることも多い。突然ポップアップ広告が表示されるようであれば、あなたのパソコンでもスパイウエアが動いているのかもしれない。
(1) ポルノサイトが勝手に表示されてしまう
ある日、A氏がオフィスでパソコンを立ち上げると、勝手にポルノサイトが次々と表示された。A氏は周りの人に見られてはいけないと思い、慌ててパソコンをシャットダウンした。
図1 勝手にポルノサイトが立ち上がる(イメージ)
しかし、仕事をするためには、パソコンを使う必要があるため、考え込んでしまった。A氏は「これは、ウイルスに違いない」と考え、まわりからディスプレーが見えないように角度を変え、あらためてパソコンを起動し、アンチウイルスソフトを実行した。
ところが、アンチウイルスソフトは、なにも検出しない。相変わらずポルノサイトが表示されることから、A氏は仕事にならないと思い、恥を忍んでIT部門に対策を依頼した。
IT部門の技術者によると、ウイルスではなくスパイウエアの一種が入り込んだもので、システムを再インストールするしかないと言うことだった。
(2) ブラウザがおかしい
ある日、B氏はインターネットの検索サイトを利用しようとした。ところが、URLは間違っていないはずなのに、変なサイトに接続されてしまう。B氏は、検索サイトでなにか保守作業でもしているのだろうと考え、取りあえず別の作業を行うことにした。
イントラネットのサーバーに接続すると、いつものようにトップページが表示された。しかし、データを入力すると、なにやら変な文字が入力されてしまい、まったく使い物にならない。
他のサイトはどうだろうと思い、ブックマークを見ると、見知らぬサイトが山のように登録されていた。
B氏は、何が起きているのか理解できず、途方にくれてしまった。
図2 ブラウザがおかしい(イメージ)
(3) 銀行口座からお金が無くなった
C氏は、オンラインバンクを気に入っている。最初は、漠然とした不安もあったが、いちいち銀行まで行かなくて済む上に、窓口が営業をしていない時間帯でも利用できる。また、外出中でも、インターネットカフェに入れば、お茶の合間に要件を片づけることができる。
ある日、いつものようにオンラインバンクにログインした。口座照会をすると、残高がほとんどない。確実に1000万円はあるはずなので、何かの間違いだろうと思い、一旦ログアウトし、改めてログインをする。それでも、表示される内容は変わらない。履歴をみると、数日前に1600万円が知らない口座に振り替えられていた。
2.被害のメカニズム
スパイウエアが、バックドア(トロイの木馬)を指す場合もあるが、Webアクセスの履歴を収集し、広告に利用するアドウエアが源流と思われる。
以下、アドウエアと、他のスパイウエアと呼ばれるプログラムについて紹介する。
(1)アドウエア
インターネットの普及に伴い、無料のソフトやシェアウエアが利用される機会が増えている。これらの中には、商用プログラムに負けない機能や完成度を持つものも少なくない。
一方で、無料のソフトがいくらよい評判を得ても、開発者の直接的な収入にはならない。また、シェアウエアに代金が支払われる確率は極めて低い。では、これらのソフトウエアの開発者は、どうやって収入を得ているのだろうか?
一つの解決策として、利用者からの収入を得ることをあきらめ、プログラムと広告を結びつけることで収入を得ている場合がある。例えば、ソフトウエアをインストールすると、広告が表示されるという仕組みで、これがアドウエアのひとつの原点である。
冒頭に紹介した、ポルノサイトが勝手に表示されてしまう、ブラウザがおかしい、といった事例は、いずれもある種のアドウエアによって起こった現象だ。
基本的なアドウエアのスキームは図3のようになる。
図3 アドウエアビジネスの流れ
この仕組みにおいて、ソフトウエア開発者が企業と直接契約して収入を得るのは、特殊なケースを除いて考えにくい。一般にオンライン広告業者と契約し、そこから収入を得ている場合が多い。図3の、(1)アドウェアを開発、(2)配布サイトに組み込み、(8)オンライン広告会社から対価を得る---という流れがこれに相当する。
Web広告の課金体系に、“表示(ビュー)数で課金”や、“クリック数で課金”という形態がある。オンライン広告業者が、ソフトウエア作者に対価を支払う狙いは、主に“広告閲覧数の増加”と“購買率の向上”で、これにより、広告主に対してより多くの課金を行うことにある。
“表示数で課金”する場合、単純に表示される回数が増えれば、それだけでオンライン広告業者の収入になる。“クリック数で課金”する場合、利用者がオンライン広告のサーバーを経由して、広告のページにアクセスしてはじめてオンライン広告会社の収入となる。図3の、(5)PC利用者が広告へアクセス、(6)オンライン広告会社がクリック数/ビュー数を広告主に報告し、(7)対価を受け取る---という流れがこれにあたる。
ソフトウエアをインストールする際や、起動する際に広告を表示させることで、オンライン広告業者は収益を増やすことができる。これにより、ソフトウエア開発者、広告主との共生関係が成り立つことになる。
では、アドウエアはなぜ、スパイウエアに分類されるのだろうか? これは、アドウエアが“購買率の向上”を目的とした活動を行うためである。
例えば、頻繁にデジタルカメラに関連したサイトにアクセスしている場合、その人は、デジタルカメラの購入を考えている可能性が高い。このため、この人にデジタルカメラに関する広告を見せれば、購入につながる可能性が高くなる。
このような動きをするためには、Webアクセスの履歴を記録して解析する仕組み(図4-(1))と、そのカテゴリにあった広告を表示するための仕組み(図4−(2)、(3))が必要となる。
図4 アドウエアの情報の流れ
つまり、アドウエアは、Webアクセスの履歴を記録し、そのデータをオンライン広告業者に送付している。
この挙動が、個人情報の収集と漏えいに当たる可能性があることから、スパイウエアとして取り扱われる。
また、オンライン広告会社が、図4−(1)(2)で収集したデータを顧客の分析に利用したり(図4−(4))、他の業者に販売する場合がある(図4-(5))。他業者の中には、スパム業者を含む場合もある。
(2)バックドア
アドウエアが、スパイウエアとしてグレーだとしても、バックドアはまさしくブラックと言える。バックドアという分類も、また、スパイウエアに負けないくらい広範囲の意味を持つ。
異論はあるとは思うが、リモートコントロールソフトや、キーロガー、DDoSクライアント(Zombie)などがこれに当たる。なお、バックドアはトロイの木馬(Trojan hose)という表現をされる場合もある。
バックドアは、不正アクセスで利用される典型的なツールで、管理者向けのツールと非常に似通っている。例えば、リモートコントロールソフトは、Remote Desktop ConnectionやTELNETをイメージしてもらえばよいと思う。違う点は、利用者がこれらのプログラムの利用を意図していない点である。
当然ではあるが、リモートコントロールソフトを使うと、ファイルの操作、プログラムの実行、他のパソコンやサーバーへの接続など、利用者に許可されたすべての操作を行うことができる。また、画面を記録することも可能で、例えば重要なメールや書類を作成している様子を、すべてリモートからみることができる。
スパイウエアの症状で、“あたかもだれかがパソコンを操作しているように…”という表現が使われることがある。リモートコントロールソフトが仕込まれている場合、まさしくだれかがパソコンを操作しているのかもしれない。
真偽は定かではないが、知人にこんな話を聞いたことがある。会社に入った新しい人がパソコンを使っていると、CDが飛び出したり、ポルノサイトが表示されたりするという。また、メールを書いていると、マウスのポインタが動き出したり、変な文章が勝手に書き込まれてしまう。その人は、気持ちが悪いと言って、すぐに会社を辞めてしまったそうである。これは、バックドアを使った、嫌がらせの可能性が高い。
リモートコントロールソフトは、キーロガーやパスワードスニファと呼ばれる機能を持っている場合が多い。この機能を使って、より重要なシステムへ侵入するための情報(ホスト名やIPアドレス、ユーザーID、パスワード、電話番号など)や、銀行口座、クレジットカードなどの情報を収集する。既に紹介した「銀行口座からお金が無くなった」という事例は、まさにこのキーロガーによるものだった。
キーロガーは、専用のハードウエアを利用する場合と、ソフトウエアを利用する場合がある。
ソフトウエアキーロガー(図5)は、アプリケーションをインストールする際に一緒にインストールしたり、ブラウザのセキュリティホールを使ってインストールするなど、物理的な接触を伴わず、また、自動的に仕込むこともできる。
図5 ソフトウエアキーロガーのイメージ
収集した情報に対して、ソフトウエアによる処理が可能で、パスワードだけを収集させたり、特定のプログラムに対する入力だけを収集することができる。
もちろん、収集した情報を、外部に送信することも可能である。
ハードウエアキーロガー(図6)は、発見が難しく、また、確実にデータを収集できる。ただし、ターゲットとなるパソコンに取り付けるためには、物理的な接触が必要となる。
図6 ハードウエアキーロガーのイメージ
スパイウエアというよりは、フォレンジックスを目的として利用される。著者が勤めるインターネット セキュリティ システムズ米国本社のERSサービス(Emergency Response Service)では、内部犯行と考えられる案件において、法的な証拠能力のあるキーロガーを使って、証拠を収集する場合がある。
(3)その他
ワームやウイルスと違い、大きなプログラムも容易にインストールできるため、ここに上げたプログラムの他にも、多くの機能が用意されている。
例えば、リモートプロシジャコールのような仕組みを用意し、ある種グリッドコンピューティングのような機能を実現するものもある。また、広告サイトに対する大量のアクセスや、スパイウエアのアップデートにより、結果的にシステムをダウンさせてしまう場合もある。
(4)スパイウエアの侵入と削除の問題
スパイウエアの侵入には、大きく二つの経路から侵入する。一つは、アドウエアに代表されるように、ソフトウエアをインストールする際に一緒にインストールされるもの。使用許諾書をよく読むと、情報を収集するということを書いてある場合がある。
もう一つは、ブラウザの脆弱性を利用するもの。マリシャスコード(Maliciouse Code)とも呼ばれるもので、インターネットブラウザから、スクリプトやActiveXなどを使って侵入する。
また、スパイウエアの中には、削除が極めて難しいものがある。一度、侵入を許してしまった場合、ディスクを再フォーマットする必要があることも少なくない。
(5)サーバーサイド
通常は、アドウエアやスパウイウェアと呼ぶことはないが、サーバー側でCokkieを追跡し、アドウエアと同じような動きをする場合がある(図7)。
図7 総合ECサイトでの履歴の収集
あるサイトでは、この仕組みを巧みに利用して、購買履歴を追跡し、利用者が購入する可能性の高いものを表示する。
総合ECサイトは、筆者も利用している。非常によくできた仕組みだと思う。半面、購買履歴情報が漏れる可能性を考えると、素直に喜べない。
■記事へのコメント投稿を希望される方は「ビジネスイノベーター」の「隣のネットセキュリティ事件」にアクセスしてください。
◎「ビジネスイノベーター」は会員制です。アクセスしていただくには、ユーザーIDとパスワードが必要になります。購読料金などの費用は一切かかりません。ぜひ、ご登録いただき、引き続きビジネスイノベーターをお読みくださるようお願いします。
詳しくは下記ページをご覧ください。
https://biz-inno.nikkeibp.co.jp/cgi-bin/registration.cgi
過去アーカイブ 最新記事 画面先頭に戻る
- 「今までにないタイプのSQLインジェクション」、ゴルフダイジェストへの不正アクセス (17:28)
- 4月改編の反動か!秋の新バラエティで同時多発的に起った異変 (17:26)
- BMWJ、最新ナビと新iDriveを全モデル標準装備した「ニュー BMW 3シリーズ」 (17:26)
- TGS2008特報:今年のスクエニブースは、マイクロソフトブースとの連携に注目 (17:24)
- 本気で持ち歩く人のためのミニノート「FMV-BIBLO LOOX U/B50」 (17:24)
- TGS2008特報:FF20年の集大成、『ディシディア ファイナルファンタジー』 (17:23)
- TGS2008特報:女性からマニアまで楽しめる『シドとチョコボの…』ほか (17:23)
- トマム「山頂駅の雲海」事件 第1幕 (17:07)
- 松本引越センターが破産手続きへ、事業継続を断念 (15:47)
- 森永卓郎:今まさに瓦解する市場原理主義 (15:35)